통상협정상의 국경간 정보이동 규제와 예외조항 분석

Abstract

The concept of cross-border transfer of information has not been established in trade agreements. In general usage, the expression of cross-border data flow is more often used instead of cross-border transfer of information. In other words, information in Article 14.11 of CPTPP and Article 12.15 of RCEP is considered and used as data, which is transmitted by electronic means. Nowadays, data is one of the most important product elements. Data not only affects transaction methods, but also creates economic interests through data flows. However, as the damage caused by data increases, data is being discussed in relation to values such as national security, cybersecurity, and privacy. Data is no longer evaluated only for economic value, but is also an issue that must be considered in terms of national and social security. Therefore, it is necessary to protect data through certain exceptions for national and social safety, while ensuring free cross-border data transfer as a principle. Firstly, it is possible to regulate cross-border data flows in the WTO. Because digital trades are intangible with the natural of transaction, it can be examined under the GATS. In addition, considering the nature of data being created and transferred through tangible digital products, it can also be applied under the GATT. However, the uncertainty and lack of specificity in WTO rules, making it difficult to use the exceptions. Meanwhile, it is difficult to reach an agreement on digital trade regulations in the WTO. So parties are making efforts to negotiate bilaterally and multilaterally to reach an agreement. This article attempts to analyze exception clauses focusing on CPTPP and RCEP, which contain meaningful provisions for cross-border data flows. However, there are several problems in using exceptions for cross-border data flows as the exception rules are regulated differently for each agreement. First of all, CPTPP and RCEP define ‘legitimate public policy objective' as special exceptions, but do not specify the definition and the scope of ‘legitimate public policy objective'. There is a problem that the parties may arbitrarily use restrictions on cross-border data flows according to their own need. Secondly, unlike CPTPP, RCEP also stipulates essential security interests, which is a major problem to use it. Regulations to protect essential security interests not only gave parties broad discretion, but also blocked objections from the other parties. This regulation may be applied in a manner of restriction on trade rather than the purpose of protecting digital trade. Therefore, it is necessary to amend the relevant exceptions to the cross-border data flows in order to avoid constituting them as disguised trade restrictions. Only when exception clauses related to cross-border data flows are appropriately used will it be possible to balance trade liberalization and regulatory authority.;디지털 기술발전으로 국제통상환경에 변화가 생기면서 무역방식에도 크나큰 변화가 있다. 아날로그 거래방식 대신 데이터로 이뤄지는 비즈니스가 전자상거래에서 자리잡고 있다. 국경간 정보의 자유로운 이동을 통해 기업들은 온라인이라는 매체를 통해 더 쉽게 해외 시장을 접근하고 있고, 소비자들은 더 다양하고 품질이 좋은 상품과 서비스를 선택하고 있다. 이처럼 전자상거래 환경에서 데이터(정보)를 통해 이뤄지는 무역거래가 활성화되면서 데이터는 새로운 무역거래 방식으로 등장할 뿐만 아니라 이로 인해 경제적 가치도 창출하고 있다. 그러나 정보의 가치가 증가함에 따라 이로 인한 국가안보, 사이버 보안, 개인 프라이버시 등의 이슈들이 논의되고 있다. 디지털 교역 과정에서 거의 모든 활동흔적은 데이터의 형태로 남겨지고 있는데 사이버 보안의 취약성으로 인해 국가, 기업 및 개인의 중요한 정보가 유출되는 일이 다반사이다. 그리고 유출된 정보가 국가사회의 기밀 정보이거나 개인의 프라이버시일 경우 발생하는 손해는 상상할 수 없은 결과를 초래할 것이고, 유출된 정보가 어떻게 사용될 것인지에 대한 예상도 점점 힘들어질 것이다. 이와 같이 ‘데이터 안전’은 점차 ‘국가 안보’와 직결되어 논의될 것이며, ‘사이버 보안’은 ‘사회 안정’과도 연결될 것이고, ‘개인 정보’는 ‘개인 프라이버시’로 연관되어 다루게 될 것이다. 이는 데이터 정보는 더 이상 경제적 가치에서만 평가될 것이 아니라 국가 안보 이익, 사회 안정, 개인 정보 보호 등의 이익에서도 고려해야 하는 문제이다. 따라서 국경간 자유로운 정보이동을 원칙으로 하되 국가사회 안전을 위하여 일정한 예외조치를 통해 데이터 정보를 보호해 줄 필요가 있다. 세계무역기구(World Trade Organization: ‘WTO’)는 국제무역 및 세계경제가 차별없이 지속적으로 발전할 수 있도록 중요한 역학을 담당하고 있다. 따라서 우선 WTO협정의 예외조항은 국경간 정보이동 조치를 규제할 수 있는지를 분석해볼 수 있다. 본고는 ‘관세와 무역에 관한 일반협정’ (General Agreement on Tariffs and Trade: ‘GATT’) 제20조, 21조와 ‘서비스무역에 관한 일반협정’ (General Agreement on Trade on Services: ‘GATS’) 제14조와 제14조의 2에 근거하여 국경간 정보이동 조치를 규제할 수 있다고 본다. 그러나 아직까지 디지털 제품과 데이터에 대한 정의가 명확하지 않다는 점에서 WTO협정으로 다루는데 한계가 있다는 입장이다. 한편, WTO 중심으로 디지털 무역규제에 대한 합의가 이루어지기 힘들다는 점에서 각국은 신속하고 합의 도출이 가능한 양자 및 다자간 협상에 노력을 기울이고 있다. 특히 디지털무역 규범상 국경간 정보이동에 대한 의미있는 조항을 내포하고 있는 ‘포괄적 점진적 환태평양동반자협정’ (Comprehensive and Progressive Agreement for Trans-Pacific Partnership: ‘CPTPP’)과 ‘역내 포괄적경제동반자협정’(Regional Comprehensive Economic Partnership: ‘RCEP’)은 회원국이 추구하는 이익에 따라 국경간 정보 이동에 대한 개방 수준과 예외 조항 규제를 잘 표현하였다고 보기 때문에 두 협정 중심으로 예외조항을 분석하려고 한다. 그러나 국경간 정보이동에 대한 예외규정이 협정마다 조금 다르게 규정되어 있어 이를 원용하는 데 여러 문제점이 존재한다. 예를 들면, RCEP협정에서는 안보 예외조항에 ‘필수적인 안보이익’을 보호하기 위한 규정을 하였을 뿐만 아니라 국경간 정보이동을 규제하고 있는 특별 예외조항에서도 ‘필수적인 안보이익’을 규제하여 중복적인 제한을 초래하고 있다. 만약 RCEP의 한 회원국이 자국의 ‘필수적인 안보이익’을 위하여 국경간 정보이동 제한조치를 취해야 한다면 특별 예외조항을 적용해야 할 것인지 아니면 안보 예외조항을 적용해야 할 것인지의 문제가 발생하게 될 것이다. 또한, RCEP의 ‘필수적인 안보이익’을 보호하기 위한 특별 예외조항에는 CPTPP와 같은 ‘두문’ 요건과 ‘비례성 원칙’이 규정되어 있지 않아 예외조항 남용의 우려도 존재한다. 이러한 문제점들은 FTA협정 내에 규정되어 있는 특별 예외, 안보 예외 적용의 불확실성을 높이게 하여 해결책이 필요하다. 그리고 특별 예외조항 범위설정에 대해서도 개선할 필요가 있다. CPTPP, RCEP협정에서는 국경간 정보이동에 대한 예외로 ‘정당한 공공정책 목표’를 규정하였는데 두 협정에서는 이에 대한 구체적인 개념과 관련 기준을 제시하지 않았다. ‘정당한 공공정책 목표’에 해당하는 기준이 불명확하여 당사국들은 스스로의 필요에 따라 국경간 정보이동 제한조치가 ‘정당한 공공정책 목표’에 해당하는 조치라고 판단하여 자의적으로 해석하여 사용할 수 있는 문제가 있다. 이는 예외조항을 매우 넓은 범위에서 적용하게 하여 무역발전을 저해하는 효과를 가져다 준다. 따라서 ‘정당한 공공정책 목표’에 해당하는 구체적인 관련 기준을 제시할 필요가 있다. 국경간 자유로운 정보이동을 위하여 제도적 측면에서 뿐만 아니라 절차적인 측면에서도 예외조항의 개선방안을 모색할 필요가 있다. 현재 국경간 정보이동에 대해 소극적인 반응을 보이는 이유는 자국의 중요한 정보가 제3국으로 이전되어 피해가 발생될까 두렵기 때문이다. 따라서 자국의 정보가 제3의 국가로 이전될 때 EU처럼 정보 보호수준에 대한 적정성 평가 절차를 고려할 수 있다. 그리고 전자상거래 환경에서 데이터 정보 이전 주체는 국가보다 기업일 경우가 크기 때문에 기업의 데이터 보호능력을 강화하는 방안도 모색해야 한다. 기업에게 기술적인 정보보호 능력을 강화하도록 장려하며, 정보를 사용할 경우 사용목적, 법적 근거, 잠재적 리스크 유형 등을 사전에 고지하도록 하고, 정기적으로 리스크 평가도 시행하여 리스크가 발견된 즉시 관련 당사국에게 통보하도록 하는 의무도 지게 할 수 있다. 더 나아가 분쟁을 효과적으로 해결하기 위해서는 온라인 분쟁해결방식을 고려할 수 있다. 예를 들면, CPTPP, RCEP분쟁해결 챕터에 전통적인 대체적분쟁해결수단 뿐만 아니라 온라인 분쟁해결방식도 고려하여 본 챕터에 추가하는 것이다. 마지막으로 전자상거래의 특별 예외조항은 일반적인 예외조항과 달리 필요성 심사보다 정당성에 대한 입증이 더욱 중요해질 것으로 예상하기 때문에 피소국에 대하여 ‘상세한 정당화사유’를 제시할 것을 요구해야 할 것이다. 원활한 디지털무역환경을 위하여 정보이동에 대한 교역자유화 조치와 이에 대한 규제권한 조치 간의 균형을 이루는 것이 중요하다. 협정내의 예외조항이 바로 이러한 균형점을 이루는 핵심이라고 생각한다. 따라서 데이터 정보의 자유로운 이동을 원칙으로 하되 일정한 예외사유에 해당하는 조치는 인정하여 정보의 경제적 가치뿐만 아니라 국가사회안전 가치도 보장해줄 필요가 있다.